Les chercheurs en cybersécurité ont disséqué le fonctionnement interne d’un malware voleur d’informations appelé Saintstealer, conçu pour siphonner les informations d’identification et les informations système. « Après l’exécution, le voleur extrait le nom d’utilisateur, les mots de passe, les détails de la carte de crédit, etc. », ont déclaré les chercheurs de Cyble dans une analyse la semaine dernière. « Le voleur vole également des données à divers endroits du système et les compresse dans un fichier ZIP protégé par mot de passe. » Un exécutable 32 bits basé sur C # .NET avec le nom « saintgang.exe », Saintstealer est équipé de contrôles anti-analyse, choisissant de se terminer s’il s’exécute dans un environnement en bac à sable ou virtuel. Le logiciel malveillant peut capturer un large éventail d’informations allant de la prise de captures d’écran à la collecte de mots de passe, de cookies et de données de remplissage automatique stockées dans des navigateurs basés sur Chromium tels que Google Chrome, Opera, Edge, Brave, Vivaldi et Yandex, entre autres. Il peut également voler des jetons d’authentification multifacteur Discord, des fichiers avec des extensions .txt, .doc et .docx ainsi qu’extraire des informations de VimeWorld, Telegram et des applications VPN comme NordVPN, OpenVPN et ProtonVPN. En plus de transmettre les informations compressées à un canal Telegram, les métadonnées liées aux données exfiltrées sont envoyées à un serveur de commande et de contrôle (C2) à distance.

De plus, l’adresse IP liée au domaine C2 – 141.8.197[.]42 – est liée à plusieurs familles de voleurs telles que Nixscare Stealer, BloodyStealer, QuasarRAT, Predator Stealer et EchelonStealer. « Les voleurs d’informations peuvent nuire aux individus ainsi qu’aux grandes organisations », ont déclaré les chercheurs. « Si même des voleurs peu sophistiqués comme Saintstealer obtiennent un accès à l’infrastructure, cela pourrait avoir des effets dévastateurs sur la cyberinfrastructure de l’organisation ciblée. » La divulgation intervient alors qu’un nouveau voleur d’informations nommé Prynt Stealer a fait surface dans la nature et peut également effectuer des opérations d’enregistrement de frappe et de vol financier à l’aide d’un module clipper. « Il peut cibler plus de 30 navigateurs basés sur Chromium, plus de 5 navigateurs basés sur Firefox et une gamme d’applications VPN, FTP, de messagerie et de jeu », a noté Cyble le mois dernier. Vendu pour 100 $ pour une licence d’un mois et 900 $ pour un abonnement à vie, le logiciel malveillant rejoint une longue liste d’autres voleurs récemment annoncés, notamment Jester, BlackGuard, Mars Stealer, META, FFDroider et Lightning Stealer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *